Preparazione dell’accesso al cluster per i nodi ibridi - Amazon EKS
Utilizzo delle voci di accesso di Amazon EKS per il ruolo IAM dei nodi ibridiUtilizzo del ruolo IAM di aws-auth ConfigMap for i nodi ibridi

Contribuisci a migliorare questa pagina

Per contribuire a questa guida per l’utente, seleziona il link Edit this page on GitHub che si trova nel riquadro destro di ogni pagina.

Preparazione dell’accesso al cluster per i nodi ibridi

Prima di connettere i nodi ibridi al cluster Amazon EKS, devi abilitare le autorizzazioni del ruolo IAM per i nodi ibridi con Kubernetes per entrare a far parte del cluster. Per ulteriori informazioni su come creare il ruolo IAM per i nodi ibridi, consulta Preparazione delle credenziali per i nodi ibridi. Amazon EKS supporta due modi per associare i principali IAM al controllo degli accessi basato su ruoli (RBAC) Kubernetes, alle voci di accesso Amazon EKS e alla ConfigMap aws-auth. Per ulteriori informazioni sulla gestione dell’accesso di Amazon EKS, consultaConcedere agli utenti e ai ruoli IAM l’accesso alle API Kubernetes .

Utilizza le procedure seguenti per associare il ruolo IAM dei nodi ibridi alle autorizzazioni Kubernetes. Per utilizzare le voci di accesso di Amazon EKS, il cluster deve essere stato creato con le modalità di autenticazione API o API_AND_CONFIG_MAP. Per utilizzare la ConfigMap aws-auth, il cluster deve essere stato creato con la modalità di autenticazione API_AND_CONFIG_MAP. La modalità di autenticazione CONFIG_MAP-only non è supportata per i cluster Amazon EKS abilitati per i nodi ibridi.

Utilizzo delle voci di accesso di Amazon EKS per il ruolo IAM dei nodi ibridi

Esiste un tipo di accesso Amazon EKS per i nodi ibridi denominato HYBRID_LINUX che può essere utilizzato con un ruolo IAM. Con questo tipo di accesso, il nome utente viene impostato automaticamente su system:node: {{SessionName}}. Per ulteriori informazioni sulla creazione delle voci di accesso, consulta Creare voci di accesso.

CLI AWS

  1. Devi avere installata e configurata la versione più recente di AWS CLI sul tuo dispositivo. Per verificare la versione attuale, usa aws --version. I programmi di gestione dei pacchetti, come yum, apt-get o Homebrew per macOS, spesso sono aggiornati a versioni precedenti della CLI AWS. Per installare la versione più recente, consulta Installazione e Configurazione rapida con aws configure nella Guida per l’utente dell’interfaccia a riga di comando di AWS.

  2. Creare la tua voce di accesso con il comando seguente. Sostituisci CLUSTER_NAME con il nome del tuo cluster e HYBRID_NODES_ROLE_ARN con l’ARN del ruolo che hai creato nei passaggi per Preparazione delle credenziali per i nodi ibridi.

    aws eks create-access-entry --cluster-name CLUSTER_NAME \
    --principal-arn HYBRID_NODES_ROLE_ARN \
    --type HYBRID_LINUX

Console di gestione AWS

  1. Apri la console Amazon EKS in Amazon EKS console.

  2. Scegli il nome del cluster ibrido abilitato per i nodi.

  3. Scegli la scheda Accesso.

  4. Seleziona Crea voce di accesso.

  5. Per principale IAM, seleziona il ruolo IAM dei nodi ibridi che hai creato nei passaggi per Preparazione delle credenziali per i nodi ibridi.

  6. Per Tipo, seleziona Hybrid Linux.

  7. (Facoltativo) Per Tag, assegna etichette alla voce di accesso. Ad esempio, per facilitare la ricerca di tutte le risorse con lo stesso tag.

  8. Scegli Vai alla revisione e alla creazione. Non è possibile aggiungere policy alla voce di accesso Hybrid Linux o modificarne l’ambito di accesso.

  9. Verifica la configurazione per la tua voce di accesso. Se noti qualcosa di errato, scegli Precedente per tornare indietro e correggere l’errore. Se la configurazione è corretta, scegli Crea.

Utilizzo del ruolo IAM di aws-auth ConfigMap for i nodi ibridi

Nei passaggi seguenti, creerai o aggiornerai la ConfigMap aws-auth con l’ARN del ruolo IAM dei nodi ibridi che hai creato nei passaggi per Preparazione delle credenziali per i nodi ibridi.

  1. Verificare che si disponga di una ConfigMap aws-auth esistente per il cluster. Considera che se stai usando un file kubeconfig specifico, devi usare il flag --kubeconfig.

    kubectl describe configmap -n kube-system aws-auth

  2. Se ti viene mostrata una ConfigMap aws-auth, aggiornala se necessario.

    1. Apri la ConfigMap per la modifica.

      kubectl edit -n kube-system configmap/aws-auth

    2. Aggiungi una nuova voce mapRoles, se necessario. Sostituisci HYBRID_NODES_ROLE_ARN con l’ARN del ruolo IAM dei nodi ibridi. Nota, {{SessionName}} è il formato corretto del modello da salvare in ConfigMap. Non sostituirlo con altri valori.

      data:
  mapRoles: |
  - groups:
    - system:bootstrappers
    - system:nodes
    rolearn: HYBRID_NODES_ROLE_ARN
    username: system:node:{{SessionName}}

    3. Salva il file ed esci dall’editor di testo.

  3. Se non è presente una ConfigMap aws-auth esistente per il cluster, creala con il seguente comando. Sostituisci HYBRID_NODES_ROLE_ARN con l’ARN del ruolo IAM dei nodi ibridi. Nota che {{SessionName}} è il formato corretto del modello da salvare in ConfigMap. Non sostituirlo con altri valori.

    kubectl apply -f=/dev/stdin <<-EOF
apiVersion: v1
kind: ConfigMap
metadata:
  name: aws-auth
  namespace: kube-system
data:
  mapRoles: |
  - groups:
    - system:bootstrappers
    - system:nodes
    rolearn: HYBRID_NODES_ROLE_ARN
    username: system:node:{{SessionName}}
EOF